Alexander Gavrun publicó en su blog personal una falla de seguridad que ha descubierto en la función 'phar_parse_tarfile' de PHP 5.
'phar' es una extensión concebida para empaquetar aplicaciones PHP y facilitar así su distribución e instalación en otros sistemas. Proporciona además una abstracción para manipular archivos ZIP y TAR.
La falla se encuentra en el archivo 'ext\phar\tar.c'. Existe un error de programación que introduce un desbordamiento de enteros durante el manejo de las cabeceras de los archivos TAR. Un atacante puede manipular el valor 'entry.filename_len' al haber sido asignado después de operar con el resultado de la función 'phar_tar_number' que utiliza como argumento el 'header->size'.
Al llamar a la función 'php_stream_read' intentaría copiar datos a un buffer que no ha sido previamente reservado, lo que provoca una denegación de servicio y potencialmente permitiría ejecutar código arbitrario.
Alexander Gavrun ha publicado una prueba de concepto en su blog, codificada en Base64. Hasta el momento php.net no ha publicado ninguna solución oficial.
Se recomienda no procesar con esta función archivos TAR en los que no se confíe.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4569
Oracle publicó un conjunto de parches para diversos productos de la casa que solventan un total de 73 nuevas vulnerabilidades. Las consecuencias son que atacantes locales y remotos pueden comprometer gravemente la seguridad de los sistemas y servicios afectados.
Las fallas se dan en varios componentes de los productos:
* Oracle Database 11g Release 2, versiones 11.2.0.1 y 11.2.0.2
* Oracle Database 11g Release 1, versión 11.1.0.7
* Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4 y 10.2.0.5
* Oracle Database 10g Release 1, versión 10.1.0.5
* Oracle Fusion Middleware 11g Release 1, versiones 11.1.1.2.0, 11.1.1.3.0 y 11.1.1.4.0
* Oracle Application Server 10g Release 3, versión 10.1.3.5.0
* Oracle Application Server 10g Release 2, versión 10.1.2.3.0
* Oracle Identity Management 10g, versiones 10.1.4.0.1 y 10.1.4.3
* Oracle JRockit, versiones R27.6.8 y anteriores (JDK/JRE 1.4.2, 5, 6), R28.1.1 y anteriores (JDK/JRE 5, 6)
* Oracle Outside In Technology, versiones 8.3.2.0 y 8.3.5.0
* Oracle WebLogic Server, versiones 8.1.6, 9.2.3, 9.2.4, 10.0.2 y 11gR1 (10.3.2, 10.3.3, 10.3.4)
* Oracle E-Business Suite Release 12, versiones 12.0.6, 12.1.1, 12.1.2 y 12.1.3
* Oracle E-Business Suite Release 11i, versión 11.5.10.2
* Oracle Agile Technology Platform, versiones 9.3.0.2 y 9.3.1
* Oracle PeopleSoft Enterprise CRM, versión 8.9
* Oracle PeopleSoft Enterprise ELS, versiones 9.0 y 9.1
* Oracle PeopleSoft Enterprise HRMS, versiones 9.0 y 9.1
* Oracle PeopleSoft Enterprise Portal, versiones 8.8, 8.9, 9.0 y 9.1
* Oracle PeopleSoft Enterprise People Tools, versiones 8.49, 8.50 y 8.51
* Oracle JD Edwards OneWorld Tools, versión 24.1.x
* Oracle JD Edwards EnterpriseOne Tools, versión 8.98.x
* Oracle Siebel CRM Core, versiones 7.8.2, 8.0.0 y 8.1.1
* Oracle InForm, versiones 4.5, 4.6 y 5.0
* Oracle Sun Product Suite
* Oracle Open Office, versión 3 y StarOffice/StarSuite, versiones 7 y 8
También se incluyen los parches para el sistema operativo Solaris. Tras la compra de Sun por parte de Oracle, las actualizaciones de Sun pasan a integrarse dentro del calendario de publicaciones trimestrales.
Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en: Oracle Critical Patch Update Advisory - April 2011 http://www.oracle.com/technetwork/topics/security/cpuapr2011-301950.html
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4568
Hacía casi una semana que PlayStation Network (PSN) permanecía inaccesible y empezaba a sospecharse una posible intrusión en sus sistemas. Finalmente Sony ha lo ha reconocido: han sufrido una intrusión en sus sistemas y los datos de más de más de 70 millones de usuarios de la popular consola pueden verse afectados.
El día 20 de abril no se podía acceder a la red de PlayStation. Se supuso en un principio que se trataba de nuevo de un ataque del grupo Anonymous que ya consiguió echar abajo la red de Sony en ocasiones anteriores. Finalmente, Sony confirma que se produjo una intrusión en su red entre el 17 y 19 de abril.
El comunicado de Sony confirma el robo de información personal pero no descarta el robo de datos bancarios, incluidos los de las tarjetas de crédito. "Mientras seguimos investigando los detalles de este incidente, creemos que una persona no autorizada ha obtenido acceso a la siguiente información: Nombre, dirección (estado, ciudad y código postal), dirección de correo electrónico, fecha de nacimiento y contraseña y usuario de PlayStation Network. Es posible que datos como el historial de compras y dirección de facturación hayan sido obtenidos".
No llega a confirmar el robo de los datos más preocupantes, como los de las tarjetas de crédito, pero tampoco lo desmiente: "Si has facilitado tus datos de tarjetas de crédito a través de PlayStation Network o Qriocity, es posible que el número de la tarjeta de crédito (no incluyendo el código de seguridad), y la fecha de caducidad de la misma hayan sido también obtenidos".
La ley en Estados Unidos obliga a las empresas a notificar a cada usuario afectado tras una fuga de datos personales del alcance del robo. Así que se supone que en el futuro, en el momento en el que Sony conozca con detalle qué y hasta dónde ha ocurrido, este punto deberá quedar aclarado.
Sony sigue investigando el problema y tratando de restablecer los sistemas. Esperan que algunos servicios estén disponibles en menos de una semana. No han dado detalles técnicos sobre la intrusión, pero un cierre tan prolongado hace pensar que la intrusión ha sido sofisticada y su evaluación es tediosa, por tanto, nos sitúa en el peor de los escenarios.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4567
Han descubierto una vulnerabilidad en Webmin que permite a un atacante elevar privilegios a través de un cross site scripting.
Webmin es un popular programa que que permite administrar servidores a través de una única y centralizada interfaz web.
La falla se da porque useradmin/index.cgi no filtra adecuadamente los datos introducidos por cualquier usuario. Un atacante sin privilegios con acceso a Webmin puede modificar su información personal insertando código javascript y hacer que éste se ejecutase en el contexto de otro usuario con mayores privilegios. Para ejecutar este código, la victima debería abrir el módulo de gestión de usuarios y visualizar la cuenta del atacante. Éste conseguiría así aumentar privilegios y conseguir administrar el sistema.
Para reproducir el error es necesario que "CHFN_RESTRICT" se encuentre establecido a "frwh" o "off" en /etc/login.defs.
Se publicó un parche oficial que soluciona esta vulnerabilidad en el módulo de grupos y usuarios. Está disponible desde: http://www.webmin.com/updates/useradmin-1.540-2.wbm.gz. Sin embargo desde la página oficial de descarga todavía se ofrece la versión con el error.
Ha sido publicada una prueba de concepto con video incluido.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4566
Adobe publicó una actualización para corregir dos vulnerabilidades críticas en Adobe Reader y Acrobat en diferentes plataformas, que permiten a un atacante ejecutar código con los permisos con los que se lance la aplicación afectada.
Las versiones afectadas son Adobe Reader X 10.0.1 para Windows, Adobe Reader X 10.0.2 para Macintosh y Adobe Acrobat X 10.0.2 para Windows y Macintosh.
Las vulnerabilidades clasificadas como CVE-2011-0610 y CVE-2011-0611, provocan la caída y potencialmente tomar el control de los sistemas afectados. Según confirma Adobe, al menos la vulnerabilidad CVE-2011-0611, se está explotando de forma activa a través de Adobe Flash Player, Adobe Reader y Acrobat, así como mediante archivos Flash (.swf) incrustados en archivos Word o Excel distribuidos como adjuntos en correos e-mail. Las protecciones de Adobe Reader X Protected Mode pueden evitar la ejecución exitosa del exploit.
Adobe recomienda a los usuarios la actualizaciones a las versiones recientemente publicadas empleando la opción de actualización automática de los productos o bien descargándolas desde la propia web de Adobe: http://www.adobe.com/downloads/.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4565
Se ha anunciado una vulnerabilidad en IBM WebSphere Application Server y WebSphere Commerce que permite a un atacante conseguir acceso a información sensible.
IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.
El problema reside en un algoritmo de cifrado débil, empleado por WS-Security para cifrar los datos intercambiados a través del Web Service (JAX-WS o JAX-RPC). Esto permite a un atacante descubrir los datos cifrados contenidos en las peticiones web.
IBM ha publicado las siguientes actualizaciones para corregir estos problemas:
Para IBM WebSphere Application Server: http://www.ibm.com/support/docview.wss?uid=swg21474220
Para IBM WebSphere Commerce: http://www-01.ibm.com/support/docview.wss?uid=swg21496880
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4564
Existe una falla de validación en las funciones 'virtio_blk_handle_write' y 'virtio_blk_handle_read' del driver virtio-blk de Quemu que puede ser aprovechada por un atacante local en la máquina huésped para acceder a la maquina host causando una denegación de servicio.
Qemu es un emulador y virtualizador de código abierto. Es capaz de emular distintas arquitecturas de procesadores, como ARM o PPC entre otros. Soporta virtualización sobre Xen y KVM. Un ejemplo de su uso, es el emulador de Android incluido en el SDK.
Las funciones vulnerables no validan correctamente los datos de una petición para que sean divisibles entre el tamaño de los bloques que van a ser leídos o escritos. Esto provoca un desbordamiento de memoria basado en heap y puede ser aprovechado por un atacante para acceder, con los privilegios heredados de la máquina virtual, a la máquina física donde se virtualiza.
El problema fue encontrado por casualidad mientras se escribía un driver virtio-blk para Solaris. El parche para esta falla ya ha sido publicado y se está esperando la asignación de un CVE que identifique la vulnerabilidad.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4563
Han corregido dos vulnerabilidades en Asterisk, que permiten a atacantes provocar denegaciones de servicio o ejecutar comandos.
Asterisk es una aplicación de una central telefónica de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Windows.
La primera de las fallas solucionadas, identificada como CVE-2011-1507, provoca una denegación de servicio. Los sistemas Asterisk no implementan correctamente la gestión del número y duración de las conexiones, por tanto, un atacante remoto podría agotar el número de conexiones disponibles y saturar el disco con mensajes de error. Para solucionar esta falla se han añadido varias opciones que permiten gestionar el número y la duración de las conexiones.
El segundo de los errores solucionados permite a un atacante elevar permisos. Una falla de validación de permisos en la función 'action_originate' situada en 'main/manager.c' permite a un usuario autenticado ejecutar comandos con permisos de 'system'.
Existen exploits conocidos para ambas vulnerabilidades, las cuales han sido solucionadas en las versiones 1.4.40.1, 1.6.1.25, 1.6.2.17.3, y 1.8.3.3.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4562
Neel Mehta investigador de Google ha reportado un error en polkit. La falla descubierta por este investigador consiste en una condición de carrera. Esto permite a un atacante local ejecutar comando arbitrarios con permisos de root.
Polkit permite definir y manejar políticas para intercomunicar procesos que corren con permisos distintos.
La falla es provocado por el modo de obtener los permisos de un proceso en 'pkexec'. A esta vulnerabilidad se le ha asignado el identificado CVE-2011-1485.
Esta falla ha sido solucionada por Ubuntu en sus versiones 10.x y 9.2 y en Red hat en la versión 6.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4561
IBM soluciona una falla descubierta por ZDI que permite a un atacante no autenticado ejecutar código arbitrario a través de un paquete LDAP especialmente manipulado.
Tivoli Directory Server, software de gestión de identidad de IBM basado en tecnología LDAP (Lightweight Directory Access Protocol), proporciona servicios de autenticación centralizado. Soporta plataformas IBM AIX, i5, Solaris, Windows, HP-UX.
El error provoca un desbordamiento de memoria intermedia basado en pila, en la función 'ber_get_int'. Esto se produce cuando se procesan paquetes 'CRAM-MD5' especialmente diseñados. Esta falla permite a un atacante remoto poder ejecutar código arbitrario en el contexto de 'SYSTEM'.
El CVE asignado a esta vulnerabilidad ha sido 'CVE-2011-1206' y se ha publicado un prueba de concepto para esta vulnerabilidad.
Existen actualizaciones para corregir este problema para las versiones 5.2.x y 6.x.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4560
Han anunciado una vulnerabilidad de denegación de servicio en Wireshark 1.4.
Wireshark es una aplicación de auditoría orientada al análisis de tráfico en redes. Su gran popularidad se debe a las funcionalidades que facilitan el análisis de las capturas, como la capacidad para interpretar archivos de capturas generados por hasta 20 diferentes aplicaciones y la gran cantidad de protocolos que soporta, actualmente más de 480. Wireshark es una herramienta de software libre y está disponible para la mayoría de sistemas operativos Unix y compatibles, así como Windows.
El error, que puede hacer que la aplicación deje de funcionar, se encuentra en la función 'dissect_nfs_clientaddr4' del archivo 'packet-nfs.c'. Para que la falla pueda ser explotada, un atacante remoto debe enviar de un paquete manipulado a través de la red que está siendo monitorizada o conseguir que la potencial víctima utilice una versión vulnerable de Wireshark para abrir un archivo de captura de tráfico especialmente manipulado.
Lo llamativo de este caso es que el error solamente está presente en la versión de 32 bits para la plataforma Windows. La falla aparece cuando ciertas variables declaradas como 'quint8' son interpretadas por la función 'sscanf' utilizando el formato 'hh'. En Linux éste se corresponde con un char con signo o sin él mientras que en la plataforma Windows se interpreta como int16 y no como int8.
La falla ha sido arreglada en la versión 1.4.5, que ya puede ser descargada desde http://www.wireshark.org/download.html
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4559
Dropbox es un servicio de alojamiento de archivos en la nube que puede ser utilizado tanto en computadoras de distintas plataformas como en dispositivos móviles. Éste permite la sincronización en diferentes máquinas de los archivos alojados, además de la compartición de los mismos.
Recientemente Derek Newton publicó en su blog el descubrimiento de la posibilidad de que los credenciales de Dropbox de un equipo puedan ser utilizados en otras máquinas.
Dropbox almacena en una base de datos SQLite, a la cual se puede acceder con herramientas al alcance de cualquiera, varios valores que pueden ser utilizados para identificarse con el servidor de sincronización, como son el 'host_id' y el 'email'. Esta forma de almacenamiento de datos no habría trascendido si además de la utilización del valor 'host_id' para la autenticación se necesitasen otras credenciales, o identificadores como pueden ser la MAC del equipo, nombre de la máquina, número de serie del CPU... ; el único método de autenticación e identificación de la máquina es el envío del valor de 'host_id', hecho que permite que pueda ser utilizado en cualquier otro equipo diferente al que le ha extraída la información.
El conocer el identificador, además de permitir la sincronización y total acceso a los archivos, da acceso de forma automática al sitio web desde donde se gestiona la cuenta. Otro problema que se suma a que la identificación del equipo se realice únicamente con este identificador es que aunque el usuario de la cuenta cambie su contraseña, dicho identificador no sufrirá ningún cambio. Este comportamiento puede generar un problema, ya que las credenciales que hubiesen caído en manos extrañas seguirían siendo efectivas hasta que el usuario legítimo elimine la asociación entre la cuenta y el equipo de donde haya sido extraído el 'host_id'.
Se hicieron públicas herramientas que permiten de forma automática obtener el archivo 'config.db' y la extracción de su contenido, además de facilitar la configuración en otras máquinas con los credenciales extraídos y el envío de los mismos a páginas web.
A pesar de que en el estudio inicial solo hizo referencia al archivo 'config.db' y al funcionamiento de la aplicación en Windows, todos los sistemas de distintas plataformas que utilicen esta forma de funcionamiento son igual de susceptibles para poder extraer el identificador de la máquina en la que se encuentra instalado Dropbox.
Dropbox no considera que el problema sea tan grave, alegando que la persona que obtenga dicho archivo, deberá tener acceso físico a la máquina, y por lo tanto a todos los archivos que han sido compartidos.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4558
Dentro del conjunto de boletines de seguridad de abril publicado este martes por Microsoft se cuenta el anuncio (en el boletín MS11-018) de una actualización acumulativa para Internet Explorer 6, 7 y 8; que además solventa cinco nuevas vulnerabilidades.
Tres de las vulnerabilidades residen en errores de desbordamiento de memoria al acceder a objetos no inicializados o borrados en Internet Explorer. Esto puede ser aprovechado por un atacante remoto para ejecutar código arbitrario a través de una página web. Los otros dos problemas permiten a un atacante obtener información sensible a través de una pagina web.
Este parche incluye todas las actualizaciones anteriores. Se recomienda actualizar el navegador mediante Windows Update o descargando los parches según plataforma desde la página del boletín de seguridad: http://www.microsoft.com/spain/technet/security/bulletin/MS11-018.mspx
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4557
Una falla localizada en el código responsable de la autenticación de los usuarios de McAfee Firewall Reporter, concretaemente en el archivo 'GernalUtilities.pm', puede permitir a un atacante remoto evadir las restricciones de seguridad y tomar el control del dispositivo.
McAfee Firewall Reporter es un gestor de eventos de seguridad destinado a auditar y a mantener los logs de otras aplicaciones empresariales destinadas a la seguridad de la red. Sus principales funciones son: transformar los flujos de auditoría en información que puede ser procesada mediante una monitorización centralizada.
El problema se debe a que GernalUtilities.pm no realiza ningún filtrado de los valores de entrada de la cookie interpretada. La lógica de programación simplemente comprueba la existencia de cierto archivo para validar al usuario sin hacer ninguna inspección de su contenido. Utilizando alguna técnica de escalada de directorios un atacante puede hacer que cierto valor de la cookie apuntase a algún archivo que existiese en el servidor, con lo que, independientemente de su contenido, conseguiría evadir las restricciones de seguridad establecidas. Con estos privilegios el atacante obtendría acceso a la interfaz web de McAfee Firewall Reporter, lo que le permite desactivar el antivirus o añadir exclusiones no deseadas.
La falla ya ha sido arreglado por McAfee en la versión 5.1.0.13.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4555
Han descubierto varias fallas en la lógica de la comunicación de las principales páginas web de tiendas con servicios de terceros destinados al pago on-line que permiten obtener productos de forma gratuita o a un precio arbitrario.
Investigadores de la Universidad de Indiana (Rui Wang y XiaoFeng Wang) y Microsoft Research descubrieron fallas en la lógica de comunicación de las principales tiendas online que utilizan servicios de pago de terceros como PayPal, Amazon Payments o Google Checkout. Las técnicas empleadas aprovechan múltiples inconsistencias introducidas por la complejidad resultante de utilizar medios de pago de terceros. Se basan en cómo los estados del pago eran percibidos por parte del vendedor y el CaaS y cómo se genera cierta "confusión" al actuar como cajas negras entre ellos.
Para la adquisición del los productos pagando a través del CaaS, el cliente es redireccionado desde la página del vendedor a la del CaaS donde se da la orden de realizar el pago, para finalmente ser redirigido de vuelta a la web del vendedor con objetivo de validar el pago y terminar el pedido. Este es el "punto débil" de la interacción entre la tienda y el CaaS.
Las fallas descubiertas son:
* NopComerce integrado junto con PayPal: Una vez que el cliente decide pagar, el vendedor le indica al comprador el identificador del pedido y la cantidad a pagar, procediendo a la inmediata redirección del navegador del comprador hacia la página del CaaS, que valida el ID del pedido pero no así la cantidad que debe pagarse, pudiendo esta ser modificada antes de ser redirigido a la página donde se realiza el pago.
* Amazon: En este caso es necesario poseer una cuenta de vendedor en Amazon, lo que está al alcance de cualquiera. Un atacante puede realizar un pago a un vendedor y en el paso de confirmación del pedido, donde se redirige desde la web del CaaS hacia la página del vendedor, indicar la página del vendedor al que le queremos hacer creer que el pago ha sido realizado. Esto ocurre por no verificar que el pago haya sido realizado a la página donde finalmente termina confirmándose la compra.
* Inerspire junto con PayPal: Se aprovecha la falla de que, tras haber realizado el pago de cierto producto, es posible cambiar el orderID, que se encarga de identificar los productos que van a ser adquiridos.
* Google Checkout: La variable que identifica el pedido no es creada hasta que se ha realizado el pago; una vez hecho, se crea el pedido con el contenido del carrito. El problema en este caso radica en que esta última operación no es atómica por lo que podría aprovecharse para añadir más productos al carrito justo antes de indicar el contenido del mismo.
* Amazon Simple Pay: El problema reside en su SDK, que permite al comprador indicar el certificado que será utilizado para verificar los mensajes del CaaS encargados de confirmar el pago del pedido. En este caso el atacante indica un certificado propio y él mismo genera los mensajes firmados que indican que el pago ya ha sido realizado, por lo que ni siquiera se tiene que interactuar con el CaaS, implicando que no se realiza en ningún momento algún pago.
Los descubridores llegaron a comprar realmente productos sin pagar y comprobaron realmente la eficacia de las técnicas. Más tarde avisaron de las fallas a los afectados de forma privada, devolvieron los productos que habían adquirido y trabajaron juntos para arreglarlos.
Estos investigadores formaron parte del equipo que descubrió vulnerabilidades en Facebook que podían permitir a sitios maliciosos acceder y compartir datos privados de los usuarios.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4555
Microsoft ha publicado 17 boletines de seguridad, del MS11-018 al MS11-034, correspondientes a su ciclo de actualizaciones. Según Microsoft nueve boletines presentan un nivel de gravedad "crítico", mientras que los ocho restantes se clasifican como "importantes". En total se han resuelto 64 vulnerabilidades.
Los nueve boletines críticos corrigen vulnerabilidades de ejecución remota de código en Internet Explorer, en el cliente y servidor SMB, en determinados ActiveX, en .NET Framework, en Windows GDI+, en la resolución DNS de Windows, en los motores JScript y VBScript y en el controlador OpenType Compact Font Format (CFF).
Los boletines importantes solucionan problemas de elevación de privilegios, obtención de información sensible y de ejecución remota de código. Afectas a Microsoft Excel, PowerPoint, Office, al editor de cubiertas de fax, a la librería Microsoft Foundation Class (MFC), en MHTML, en los conversores de texto de WordPad y en los drivers modo-kernel de Windows.
Como es habitual también se ha publicado una actualización para la herramienta Windows Malicious Software Removal Tool.
Las actualizaciones pueden descargarse a través de Windows Update o consultando los boletines donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4552
El investigador Felipe Ortega hizo público una falla en Kerberos a través de las listas de Debian Bugs que permite provocar una denegación de servicio y ejecutar código arbitrario.
La falla se debe a un error en la interpretación de las peticiones recibidas. Esta falla provoca el procesado de un valor incorrecto de versión y hace que el servicio kadmind se detenga ocasionando una denegación de servicio. Es posible que la falla permita la ejecución de código, aunque no se ha demostrado aún.
La vulnerabilidad fue descubierta mientras se ejecutaba la aplicación nmap para intentar determinar la versión de Kerberos, con el siguiente comando:
nmap -n -sV [servidor]
Siendo [servidor] el servidor de Kerberos principal.
La falla que ha sido confirmada para la versión krb5-1.9 y está pendiente de solución. No se descarta que afecte a otras versiones.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4551
Ya se encuentra disponible la nueva versión de Wordpress 3.1.1 que corrige aproximadamente 30 fallas entre los que se incluyen 3 vulnerabilidades descubiertas por los desarrolladores Jon Cave y Peter Westwood.
Wordpress es un sistema de gestión de contenidos dirigido a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características.
Una de las vulnerabilidades corregidas permite a un atacante remoto el secuestro de la sesión de autenticación al forzar al navegador de los usuarios autenticados a realizar acciones no autorizadas al visitar una página web especialmente manipulada.
Esta vulnerabilidad, localizada en el componente 'media uploader' permite evadir la protección contra cross-site request forgery (CSRF). Ha sido corregida mediante la asociación de códigos únicos en las peticiones.
La segunda era un cross-site scripting (XSS) localizado en el código encargado de las actualizaciones de la base de datos.
Esta vulnerabilidad se debe a la insuficiente validación de los parámetros de entrada y puede ser empleada para generar páginas web especialmente manipuladas permitiendo la ejecución de código HTML o JavaScript en el contexto de otro sitio web.
Estas dos primeras vulnerabilidades fueron descubiertas y notificadas por Jon Cave, quien a su vez es miembro activo del equipo de seguridad de Wordpress.
La última vulnerabilidad, descubierta por Peter Westwood, permitía causar una denegación de servicio a través del uso de enlaces especialmente manipulados en los comentarios. La falla en este caso, reside en la función 'make_clickable' del archivo 'wp-includes/formatting.php' al no comprobar la longitud de la URL en los comentarios antes de ser procesada por la libreria PCRE.
Junto con estas 3 vulnerabilidades, la nueva versión de Wordpress corrige a su vez 26 fallas entre los que cabe destacar el soporte con IIS6, permalinks relacionados con PATHINFO, así como varios problemas de compatibilidad con ciertos plugins.
Se recomienda la actualización a esta nueva versión de Wordpress, bien desde Dashboard -> updates o bien descargándola y realizando la actualización a mano.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4550
Microsoft ha anunciado que en esta ocasión se esperan 17 boletines de seguridad que solucionarán 64 vulnerabilidades. 13 de los boletines van destinados a Windows, 4 a Office (uno compartido entre ambos) y otro a "Microsoft Developer Tools and Software".
Si el mes pasado se publicaron solo tres boletines este mes se publican 17 boletines que corrigen 64 vulnerabilidades, uno de los números más altos alcanzados en un mes. Microsoft ha catalogado nueve de los boletines como críticos, y los restantes como importantes.
Microsoft también publicará una actualización para la herramienta Microsoft Windows Malicious Software Removal Tool.
En esta tanda se solucionará una falla en SMB hecho público el 15 de febrero, que permitía provocar una denegación de servicio y en la que, según Microsoft, la ejecución de código es muy improbable. También planean solucionar el error MHTML detectado en enero, y del que sí se han notificado ataques aprovechando la falla. No se especifica si estos boletines corregirán otras fallas de seguridad pendientes, como por ejemplo los que se usaron en el concurso Pwn2Own, donde Stephen Fewer consiguió hacerse con el control de un Windows 7 gracias a al menos dos problemas de seguridad desconocidos hasta el momento en Internet Explorer.
Los parches anunciados están sujetos a cambios, por lo tanto no se garantiza que no se produzcan cambios de última hora.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4549
Investigadores de InfoSec Institute descubrieron una nueva forma de robar el tráfico de una red interna gracias a la configuración por defecto de IPv6 en Windows y MacOS X. Se trata de una especie de hombre en medio, pero mucho más sencillo que las técnicas habituales en IPv4. Al ataque se le ha llamado SLAAC, pero no se trata de un 0 day, como proclaman.
Obtener y redirigir el tráfico de una red interna hacia una máquina controlada por un atacante es una técnica conocida en el mundo de IPv4. El método más empleado es envenenar la caché ARP de los sistemas. Ahora, el ataque SLAAC consigue el un efecto parecido pero de forma más "limpia".
El atacante debe introducir un router en la red interna con dos interfaces ya sean virtuales o no: una de cara a la red interna, que soporte IPv6 y otra con la conexión a Internet IPv4. En esos momentos existirá una red adicional IPv6, pero el atacante no controlará el tráfico. El intruso comenzará a enviar RA (router advertisements), que es una especie de DHCP para IPv6. El objetivo es que el tráfico pase a través de la interfaz IPv6 sin que los clientes noten nada y esto se consigue gracias a una especificación obsoleta.
NAT-PT es un mecanismo que permite traducir de IPv4 a IPv6 y viceversa para que dispositivos que soporten una u otra versión puedan comunicarse. Un protocolo pensado para facilitar la migración entre redes que fue abandonado en 2007 porque era demasiado complejo y contenía muchos errores. El método es definir en el router un prefijo IPv6 e incrustar en los últimos 32 bits una dirección IP versión 4, que según el ataque previsto, debe coincidir con un servidor DNS del propio atacante, situado en la interfaz IPv4 del router. Si se configura correctamente ese router del atacante para que se encargue de traducir las direcciones IPv6 de las víctimas a IPv4 se consuma el ataque, engañando al usuario para que crea que su servidor DNS es el del atacante.
El siguiente paso es hacer que los sistemas operativos usen la red IPv6 creada paralelamente y que lo hagan rápido. Esto se consigue de forma muy sencilla por dos razones: La primera es el uso de Application Layer Gateways (ALGs), que es necesario en NAT-PT para hacer NAT en protocolos "especiales" como FTP. La segunda es que los sistemas operativos modernos prefieren siempre utilizar IPv6.
Gracias a Stateless address autoconfiguration (SLAAC) los sistemas operativos como Windows y Mac OS X, preferirán usar IPv6 en una red siempre que sea posible. IPv6 está ideado para autoconfigurarse al máximo. Por lo tanto obtendrán automáticamente información del router fraudulento introducido por el atacante sin que se note, y comenzarán a usar su servidor DNS fraudulento. Además, es poco probable que en una red exista algún router IPv6, por tanto el atacante no tendrá "interferencias".
Estos problemas con routers "rogue" ya son más que conocidos en entornos IPv4, e incluso en entornos IPv6 existe software para simularlo. Pero hasta ahora se tomaban más como una molestia que como un ataque. Esta prueba de concepto confirma un escenario y un método de "aprovechamiento" viable.
El ataque SLAAC tiene además una serie de ventajas. Por ejemplo, no se necesita alterar la red IPv4 de la víctima ni siquiera utilizar una dirección IP de esa red. Se aprovecha de forma limpia una funcionalidad de los sistemas modernos: preferir IPv6 sobre IPv4.
El ataque también tiende a ser silencioso: la red IPv4 y por tanto, sus sistemas de defensa y monitorización "tradicionales", no son alterados.
Simplemente, como siempre, deshabilitar lo que no se utilice. En este caso, el soporte IPv6 desde las propiedades de red.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4548
El 18 de marzo RSA confesó que había sufrido un ataque dirigido en el que le robaron información relativa a su famoso producto SecurID. En estos momentos ya se sabe cómo accedieron a la información los atacantes y que RSA tardó varios días en hacer público el incidente.
En una entrada oficial llamada "anatomía de un ataque" RSA explica cómo ocurrió un grave incidente de seguridad en su compañía. Si bien explica muy bien el ataque, se centra en explicar que las ATP (Advanced Persistent Threat) son muy complejas, que ocurren en las mejores familias y que ellos hicieron lo correcto. Parece que es así, pero lo interesante es centrarse en los errores para poder aprender de este tipo de situaciones.
Todo empieza cuando el atacante envía dos correos en un periodo de dos días a dos pequeños grupos de empleados. Se les envió un correo con el asunto "2011 Recruitment Plan" con un Excel con el mismo nombre adjunto. Uno de los usuarios rescató el email de la carpeta de correo basura.
El Excel contenía una falla no conocida hasta el momento en Flash, que permitía la ejecución de código. Incluso Adobe anunció el 14 de marzo que sabía de la existencia de una vulnerabilidad desconocida que estaba siendo aprovechada para atacar sistemas. Si bien no hace mención explícita a RSA, parece que esta vulnerabilidad apareció a causa de este ataque. Adobe ya ha solucionado esto con un parche emitido fuera de su ciclo habitual.
Luego los atacantes instalaron una variante del conocido RAT Poison Ivy y crearon una conexión inversa hacia un servidor propio del atacante. RSA afirma que "esto lo hace más difícil de detectar", pero no es del todo cierto. Lo que hace más difícil de detectar estas conexiones es el hecho de que suelen estar cifradas y en puertos estándares. En este punto hubiesen sido necesarios inspectores de tráfico e IDS, aunque es cierto que el nivel de éxito de esta medida puede ser menor si los atacantes realmente se lo proponen.
Según la RSA, el ataque fue detectado por su Computer Incident Response Team mientras se estaba produciendo. Insiste en que el ataque se desarrolla durante meses antes de ser detectado. Sin embargo, los atacantes tuvieron tiempo de hacerse una idea de la red interna y buscar usuarios con más privilegios que los infectados inicialmente. Llegaron a comprometer cuentas de administrador.
El atacante más tarde transfirió archivos RAR protegidos por contraseña desde el servidor de la RSA hacia un tercero externo y comprometido. Descargó la información, la borró de ese servidor y se quedó con ella.
RSA sigue sin aclarar qué fue lo robado exactamente, aunque explica bien cómo funcionó el ATP y, extrayendo la información correcta de su mensaje, podría servir como experiencia en la que apoyarse para prevenir incidentes futuros.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4545
RealNetwoks Inc. publicó una actualización para Helix Server que afecta a las versiones 12.x, 13.x y 14.x en la que corrige 2 fallas de seguridad.
La primera se encuentra al procesar una cabecera 'x-wap-profile' especialmente manipulada, que permite a un usuario remoto ejecutar código arbitrario sobre la víctima.
Para impedir que esto suceda se debe negar el procesamiento de estas cabeceras añadiendo 'Retieve X-WAP profikes=No' en cada user-agent en la configuración Media Delivery del Administrador Helix.
La segunda vulnerabilidad se encuentra al procesar una petición Real Time Streaming Protocol (RTSP) especialmente manipulada, lo que provocaría un desbordamiento de memoria intermedia que puede ser aprovechado por un atacante remoto no autenticado para ejecutar código arbitrario con los privilegios con los que se esté ejecutando el servicio. Para la explotación se debe establecer una conexión TCP sobre el puerto 554 del servidor objetivo.
Para mitigar el impacto, se debe configurar Helix Server para que se ejecute con los mínimos privilegios. Para ello se debe de introducir una cuenta de usuario válido en cada nombre o grupo en la configuración de usuarios y grupos del Administrador Helix.
La versión 14.2 corrige estas vulnerabilidades.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4544
Cisco publicó dos alertas de seguridad que afectan a sus productos Cisco Secure Access Control System (ACS) y NAC (Network Access Control).
Cisco ACS opera como un servidor RADUIS y TACACS+ que combina por un lado la autenticación de usuarios y por otro la administración de los dispositivos de control de acceso y las políticas de control de una red centralizada.
La vulnerabilidad permite a un atacante remoto cambiar la contraseña de algunos usuarios sin la necesidad de saber la contraseña anterior. No todas las contraseñas pueden ser modificadas por un atacante. Están exentas del problema:
* Las cuentas de usuario definidas en un almacenamiento externo (como servidores LDAP o RADIUS externos).
* Cuentas de administrador si se han configuro a través de la interfaz web.
* Cuentas de usuario que hayan sido configuradas a través de comandos CLI.
La otra vulnerabilidad afecta a Cisco Network Access Control (NAC) Guest Server en su versión anterior a 2.0.3. Cisco NAC es un sistema que nos permite gestionar automáticamente los dispositivos que acceden a la red según ciertas características definidas.
La falla se encuentra en el archivo de configuración de RADIUS. Un atacante remoto no autenticado que explote la vulnerabilidad puede tener acceso a una red protegida independientemente de las restricciones interpuestas y sin necesidad de usuario y contraseña.
Cisco ha publicado actualizaciones para corregir los problemas. La última versión del software Cisco NAC Guest Access Server puede obtenerse desde: http://www.cisco.com/cisco/software/release.html?mdfid=282450822&flowid=4363&softwareid=282562545.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4543
